Фаєрволи продовження - частина 2, linuxspace

Як і обіцяв продовжую сагу про фаєрвол. У попередній статті ми розглянули роботу ufw і розібрали деякі прості приклади. Сьогодні мова піде про IPtables. Я не буду заглиблюватися в принципи роботи, це не вікіпедія, зате покажу кілька реально корисних прикладом, які допоможуть вам обезапасіть сервер. Налаштування які будуть запропоновані нижче використовуються в основному на серверах розташованих в зоні MZ або ж на домашніх машинах.

Я маю на увазі, що для серйозних продакшн серверів настройки фаєрволів повинні бути більш тонкими і гнучкими, ніж я запропоную вам, але це вже справа кожного. Наприклад на великих серверах є захист проти ДДОС, брут форс та іншого. До речі опцію як захистити 22 порт від брут форс я привів в минулій статті. Приклади будуть відображати настройку на двох системах, на Ubuntu \ Debian і на Fedora 17. Для інших дистрибутивів можуть бути відмінності. Якщо цікаво, то поїхали, вся необхідна інфа в продовженні.

Налаштування IPtables в Ubuntu 12.04 \ Debian

Мій домашній сервер управляється системою Ubuntu 12.04 і він же дивиться в світ (тобто у нього є інтерфейс до якого прив'язаний зовнішній IP) так само багато серверів за які я був відповідальний в армії і на роботі так само працюють під управлінням Ubuntu 10.04 or 10.12 Server.

Так як налаштувати IPtables, з чого наать? Почати треба з визначення політик безпеки. Як було сказано раніше, в попередній статті, я притримуюсь такої політики:

- Allow all outgoing connections (дозволити ВСЕ вихідні)
- Allow established connections (дозволити ВСЕ встановлені)
- Deny all incoming connections (заборонити ВСЕ входять, тобто все крім того що ми відкриємо має припинятися від початку без суду і слідства)
- Deny all forward connections (заборонити форвардного)

Інше вже налаштовується за смаком.
В Ubuntu \ Debian за замовчуванням фаєрвол відключений. Перевірити статус і подивитися актівине правила можна так: